组策略管理——软件限制策略
 
 
组策略管理——软件限制策略(1)中我们简单的对“软件限制策略”有了初步的了解,本文将继续上文对该应用做进一步的介绍。
软件限制策略采取的规则
在组策略“软件限制策略”条目下,除了“安全级别”,还有一项目录称作“其他规则”。在对软件进行限制时,就需要使用“规则”来对软件进行标识。
右键单击“其他规则”,用户可根据不同的需要创建不同种类规则,分别有:证书规则、哈希规则、网络区域规则以及路径规则。
证书规则
软件限制策略可以通过其 签名证书来标识文件。证书规则不能应用到带有 .exe 或 .dll 扩展名的文件。它们可以应用到脚本和 Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
路径规则
路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如 %programfiles% 或 %systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为 * 和 ?。相对其他规则而言,此规则设置更为灵活方便。
散列规则
散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1(安全散列算法)和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。
例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。
网络区域规则
区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。 
软件限制策略规则的优先权
对同一个软件可以应用几个软件限制策略规则。这些规则将以下列优先权顺序应用(从高到低):
 哈希规则 > 证书规则 > 路径规则 > 网络区域规则
例如,如果某个软件程序所驻留的文件夹被指派了具有“不允许的”安全级别的路径规则,则在为该程序创建了具有“不受限的”安全级别的哈希规则后,该程序将能运行。哈希规则优先于路径规则。
如果对同一对象应用了两个路径规则,则两者中更为具体的规则将具有优先权。例如,如果 C:\Windows\ 有一个具有“不允许的”安全级别的路径规则,而 C:\Windows\System32\ 有另一个具有“不受限的”安全级别的路径规则,则更为具体的路径规则将获得优先权。因此,C:\Windows\ 中的软件程序无法运行,而C:\Windows\System32\ 中的程序将运行。
如果对软件应用了两个仅在安全级别方面不同的规则,则更为保守的规则将获得优先权。例如,如果有两个哈希规则,一个具有“不允许的”的安全级别,一个具有“不受限的”的安全级别,当它们应用于同一软件程序时,具有“不允许的”安全级别的规则将获得优先权,因此该程序将不运行。
另外,对于路径规则,总的原则就是:规则越匹配越优先。
例如按照优先级从高到低排列:
 C:\Windows\System32\Taskmgr.exe
C:\Windows\System32\*.exe
*.exe
C:\Windows\System32\
C:\Windows\
在路径规则中,即有如下特征:
 
 
 绝对路径 > 通配符路径
文件名规则 > 目录规则
 
对于同样是目录规则的,则目录数匹配越多就越优先。
指定文件类型
在组策略中对软件的限制,其作用范围仅限于已被指定的文件类型。在“软件限制策略”根目录树下可以看到“指定的文件类型”策略条目。该条目允许我们自定义软件限制策略的作用范围。
默认情况下列表中的文件类型包括:
ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC
因此,对于正常的非可执行的文件,例如 TXT JPG GIF 这些是不受影响的,如果用户认为还有哪些扩展的文件有威胁,也可以将其扩展加入这里,或者是认为哪些扩展无威胁,也可以将其删除。
本系列未完,欢迎持续关注!